La actualización de un Par de HA de 9.1 a 10.0 provoca un escenario de división de funciones cuando se habilita el cifrado del enlace HA1
Symptom
- La actualización de un Par de HA de PAN-OS 9.1.x a PAN-OS 10.0.x hace que las unidades pasen a cerebro dividido
- HA_agent logs show the SSH tunnel is reset
HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s) Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset
Environment
- Cortafuegos de Palo Alto Networks
PAN-OS 9.1.x - PAN-OS 10.0.x
- El cifrado de enlace HA1 está habilitado
Cause
En PAN-OS 9.1, la comunicación HA está configurada para usar aes128-cbc, mientras que PAN-OS 10.0 usa aes128-ctr
Esto se debe a que en PAN-OS 10.0 la versión OpenSSH se actualizó de 6.4 a 7.7 y en 7.7 el cifrado aes128-cbc no es parte de la lista valor predeterminado de cifrados.
Resolution
Para evitar un escenario de cerebro dividido durante la actualización, deshabilite el cifrado HA1 antes del procedimiento de actualización y vuelva a habilitarlo después de que ambos firewalls estén en la misma versión.
La configuración se encuentra en Dispositivo > Alta disponibilidad > General > Enlace de control (HA1) > Cifrado habilitado
Additional Information
Si un dispositivo PAN-OS 9.1 intenta conectarse a un dispositivo PAN-OS 10.0, o viceversa, la conexión se desconectará debido a una falta de coincidencia de cifrado.
Cómo habilitar el cifrado en HA1
Consideraciones sobre la actualización o degradación de PAN-OS 10.0